Ограничение приложений с помощью grsecurity
После установки обновления grsecurity можно воспользоваться гибкой системой ACL (помимо функций, предоставляемых непосредственно grsecurity) для дальнейшего ограничения привилегированных приложений на вашей системе.
Для ограничения определенного приложения необходимо использовать утилиту gradm, которую можно загрузить с основного сайта grsecurity (http://www. grsecurity.net). Ее компиляция и установка осуществляются традиционным способом: распакуйте дистрибутив, перейдите в созданный при этом каталог и запустите mate && mate install. При этом gradm будет установлена в /sbin, создан каталог /etc/grsec, содержащий ACL по умолчанию, и установлена документация.
После установки утилиты необходимо создать пароль для идентификации в ядре. Это делается с использованием ключа -Р утилиты gradm:
# gradm -Р
Setting up grsecurity ACL password Password:
Re-enter Password:
Password written to /etc/grsec/pw.
Для активизации ACL-системы обновления grsecurity выполните команду
# /sbin/gradm -Е
По окончании настройки ACL можно добавить соответствующую команду в конец файла запуска системы (/etc/rc.local).
По умолчанию ACL, установленная в /etc/grsec/acl, довольно ограниченна, поэтому вам захочется создать ACL для двоичных файлов системы и служб. Например, после включения ACL-системы утилита ifconfig не сможет изменять характеристики интерфейса даже при запуске root-пользователем:
# /sbin/ifconfig ethO:1 192.168.0.59 up
SIQCSIFARDDR:. Permission denied
SIOCSIFFLAGS: Permission denied
SIOCSIFFLAGS: Permission denied